Compartilhar via

Planear como reativar clientes no Configuration Manager

  • Artigo

Aplica-se a: Configuration Manager (branch atual)

Configuration Manager suporta pacotes de reativação tradicionais para reativar computadores no modo de suspensão quando pretende instalar o software necessário, como atualizações de software e aplicações.

Observação

Este artigo descreve como funciona uma versão mais antiga do Wake on LAN. Esta funcionalidade ainda existe no Configuration Manager versão 1810, que também inclui uma versão mais recente do Wake on LAN. Ambas as versões do Wake on LAN podem, e em muitos casos, ser ativadas simultaneamente. Para obter mais informações sobre como funciona a nova versão do Wake on LAN a partir da versão 1810 e a ativação de uma ou de ambas as versões, veja Como configurar a Reativação na LAN.

Como reativar clientes no Configuration Manager

Configuration Manager suporta pacotes de reativação tradicionais para reativar computadores no modo de suspensão quando pretende instalar o software necessário, como atualizações de software e aplicações.

Pode complementar o método de pacote de reativação tradicional com as definições de cliente proxy de reativação. O proxy de reativação utiliza um protocolo ponto a ponto e computadores eleitos para marcar se outros computadores na sub-rede estão acordados e para ativá-los, se necessário. Quando o site está configurado para Reativação por LAN e os clientes são configurados para o proxy de reativação, o processo funciona da seguinte forma:

  1. Computadores com o cliente Configuration Manager instalado e que não estão a dormir na sub-rede marcar se outros computadores na sub-rede estão ativos. Fazem isto marcar enviando um comando ping TCP/IP a cada cinco segundos.

  2. Se não houver resposta de outros computadores, presume-se que estão a dormir. Os computadores que estão acordados tornam-se no computador gestor da sub-rede.

    Uma vez que é possível que um computador não responda devido a um motivo diferente de estar em suspensão (por exemplo, está desligado, removido da rede ou a definição de cliente de reativação de proxy já não é aplicada), os computadores recebem um pacote de reativação todos os dias às 14:00 locais. Os computadores que não respondem deixarão de estar em suspensão e não serão acordados pelo proxy de reativação.

    Para suportar o proxy de reativação, pelo menos três computadores têm de estar ativos para cada sub-rede. Para cumprir este requisito, três computadores são escolhidos de forma não determinista para serem computadores guardião da sub-rede. Este estado significa que permanecem acordados, apesar de qualquer política de energia configurada para suspender ou hibernar após um período de inatividade. Os computadores guardião honram os comandos de encerramento ou reinício, por exemplo, como resultado de tarefas de manutenção. Se esta ação acontecer, os restantes computadores tutoriais reativam outro computador na sub-rede para que a sub-rede continue a ter três computadores tutoriais.

  3. Os computadores de gestor pedem ao comutador de rede para redirecionar o tráfego de rede para os computadores em suspensão para si próprios.

    O redirecionamento é obtido pelo computador gestor que transmite uma moldura Ethernet que utiliza o endereço MAC do computador em suspensão como endereço de origem. Este comportamento faz com que o comutador de rede se comporte como se o computador em suspensão tivesse sido movido para a mesma porta em que o computador do gestor se encontra. O computador do gestor também envia pacotes ARP para os computadores em suspensão para manter a entrada fresca na cache do ARP. O computador do gestor também responde a pedidos do ARP em nome do computador em suspensão e responde com o endereço MAC do computador em suspensão.

    Aviso

    Durante este processo, o mapeamento IP para MAC do computador em suspensão permanece o mesmo. O proxy de reativação funciona ao informar o comutador de rede de que uma placa de rede diferente está a utilizar a porta que foi registada por outra placa de rede. No entanto, este comportamento é conhecido como um flap MAC e é invulgar para uma operação de rede padrão. Algumas ferramentas de monitorização de rede procuram este comportamento e podem assumir que algo está errado. Consequentemente, estas ferramentas de monitorização podem gerar alertas ou encerrar portas quando utiliza o proxy de reativação.

    Não utilize o proxy de reativação se as ferramentas e os serviços de monitorização de rede não permitirem flaps MAC.

  4. Quando um computador gestor vê um novo pedido de ligação TCP para um computador suspenso e o pedido é para uma porta em que o computador suspenso estava a escutar antes de entrar em modo de suspensão, o computador do gestor envia um pacote de reativação para o computador suspenso e, em seguida, deixa de redirecionar o tráfego para este computador.

  5. O computador adormecido recebe o pacote de reativação e é reativado. O computador que envia volta automaticamente a tentar a ligação e, desta vez, o computador está ativo e pode responder.

    O proxy de reativação tem os seguintes pré-requisitos e limitações:

Importante

Se tiver uma equipa separada responsável pela infraestrutura de rede e pelos serviços de rede, notifique e inclua esta equipa durante o período de avaliação e teste. Por exemplo, numa rede que utiliza o controlo de acesso à rede 802.1X, o proxy de reativação não funcionará e poderá interromper o serviço de rede. Além disso, o proxy de reativação pode fazer com que algumas ferramentas de monitorização de rede gerem alertas quando as ferramentas detetam o tráfego para reativar outros computadores.

  • Todos os sistemas operativos Windows listados como clientes suportados em Sistemas operativos suportados para clientes e dispositivos são suportados para Reativação por LAN.

  • Os sistemas operativos convidados que são executados numa máquina virtual não são suportados.

  • Os clientes têm de estar ativados para o proxy de reativação através das definições do cliente. Embora a operação de reativação do proxy não dependa do inventário de hardware, os clientes não comunicam a instalação do serviço proxy de reativação, a menos que estejam ativados para inventário de hardware e submetidos pelo menos um inventário de hardware.

  • Os adaptadores de rede (e, possivelmente, o BIOS) têm de estar ativados e configurados para pacotes de reativação. Se a placa de rede não estiver configurada para pacotes de reativação ou esta definição estiver desativada, Configuration Manager irá configurar e ativá-la automaticamente para um computador quando receber a definição de cliente para ativar o proxy de reativação.

  • Se um computador tiver mais do que um adaptador de rede, não poderá configurar o adaptador a utilizar para o proxy de reativação; a escolha não é determinista. No entanto, o adaptador escolhido é registado no ficheiro SleepAgent_<DOMAIN>@SYSTEM_0.log.

  • A rede tem de permitir pedidos de eco ICMP (pelo menos na sub-rede). Não pode configurar o intervalo de cinco segundos que é utilizado para enviar os comandos de ping ICMP.

  • A comunicação não é encriptada e não autenticada e o IPsec não é suportado.

  • As seguintes configurações de rede não são suportadas:

    • 802.1X com autenticação de porta

    • Redes sem fio

    • Comutadores de rede que vinculam endereços MAC a portas específicas

    • Redes apenas IPv6

    • Duração da concessão DHCP inferior a 24 horas

Se pretender reativar computadores para a instalação de software agendada, tem de configurar cada site primário para utilizar pacotes de reativação.

Para utilizar o proxy de reativação, tem de implementar as definições de cliente proxy de reativação do Power Management, além de configurar o site primário.

Decida se pretende utilizar pacotes de difusão direcionados para sub-rede ou pacotes unicast e qual o número de porta UDP a utilizar. Por predefinição, os pacotes de reativação tradicionais são transmitidos através da porta UDP 9, mas para ajudar a aumentar a segurança, pode selecionar uma porta alternativa para o site se esta porta alternativa for suportada por routers e firewalls intervenientes.

Escolher Entre Unicast e Subnet-Directed Difusão para Reativação na LAN

Se optar por reativar os computadores ao enviar pacotes de reativação tradicionais, tem de decidir se quer transmitir pacotes unicast ou pacotes de difusão direta de sub-rede. Se utilizar o proxy de reativação, tem de utilizar pacotes unicast. Caso contrário, utilize a tabela seguinte para o ajudar a determinar o método de transmissão a escolher.

Método de transmissão Vantagem Desvantagens
Unicast Solução mais segura do que as difusões direcionadas para sub-rede porque o pacote é enviado diretamente para um computador em vez de para todos os computadores numa sub-rede.

Poderá não exigir a reconfiguração de routers (poderá ter de configurar a cache do ARP).

Consome menos largura de banda de rede do que as transmissões de difusão direcionadas para sub-rede.

Suportado com IPv4 e IPv6.		 Os pacotes de reativação não encontram computadores de destino que tenham alterado o endereço da sub-rede após o último agendamento de inventário de hardware.

Os comutadores podem ter de ser configurados para reencaminhar pacotes UDP.

Alguns adaptadores de rede podem não responder a pacotes de reativação em todos os estados de suspensão quando utilizam unicast como método de transmissão.
Subnet-Directed Difusão Taxa de êxito mais elevada do que a unicast se tiver computadores que alteram frequentemente o respetivo endereço IP na mesma sub-rede.

Não é necessária reconfiguração do comutador.

Elevada taxa de compatibilidade com adaptadores de computador para todos os estados de suspensão, porque as difusões direcionadas para sub-rede eram o método de transmissão original para o envio de pacotes de reativação.		 Solução menos segura do que utilizar unicast porque um atacante pode enviar fluxos contínuos de pedidos de eco ICMP a partir de um endereço de origem falsificado para o endereço de difusão direcionado. Isto faz com que todos os anfitriões respondam a esse endereço de origem. Se os routers estiverem configurados para permitir difusões direcionadas para sub-rede, a configuração adicional é recomendada por motivos de segurança:

- Configure routers para permitir apenas difusões direcionadas para IP a partir do servidor do site Configuration Manager, utilizando um número de porta UDP especificado.
- Configure Configuration Manager para utilizar o número de porta não predefinido especificado.

Pode exigir a reconfiguração de todos os routers intervenientes para ativar as difusões direcionadas para a sub-rede.

Consome mais largura de banda de rede do que transmissões unicast.

Suportado apenas com IPv4; O IPv6 não é suportado.

Aviso

Existem riscos de segurança associados a difusões direcionadas para sub-redes: um atacante pode enviar fluxos contínuos de pedidos de eco do Protocolo ICMP (Internet Control Message Protocol) a partir de um endereço de origem falsificado para o endereço de difusão direcionado, o que faz com que todos os anfitriões respondam a esse endereço de origem. Este tipo de ataque denial of service é normalmente chamado de ataque smurf e é normalmente mitigado por não ativar as difusões direcionadas para a sub-rede.